Un fallo de seguridad compromete miles de tarjetas de crédito usadas en España

Un fallo en la seguridad en uno de los centros de tratamiento de datos de las tarjetas de crédito que se utilizan en España ha provocado una de las estafas más graves registradas en el sistema bancario en los últimos años. La fuga de información ha comprometido el uso de cientos de miles de medios de pago electrónicos de todo el mundo, según ha confirmado EL CORREO, ya que afecta a los intercambios efectuados entre marzo y agosto del presente ejercicio, un periodo en el que el país acoge a millones de turistas extranjeros que emplean ‘dinero de plástico’ para abonar sus compras. 

tos/4270980.jpg&nuevoancho=300″ alt=”” width=”300″ height=”185″ /> 
Las investigaciones preliminares realizadas por las entidades financieras apuntan que la información que almacenan las tarjetas ‘salpicadas’ fue parcelada y vendida a mafias internacionales a comienzos del pasado septiembre. Esos datos sirvieron para fabricar -clonar- nuevas tarjetas y usarlas con documentos falsificados en distintos lugares del planeta. Se trata siempre de pagos realizados en establecimientos que trabajan con datáfonos. La estafa no afecta a los cajeros automáticos, ya que entre el material ‘fugado’ no se encuentra el código de acceso (PIN).

Las incidencias registradas en los últimos meses en España no indican que se trate, por ahora, de un fraude masivo, aunque Alemania -uno de los países con más afectados- se está planteando la posibilidad de sustituir unas 100.000 tarjetas para evitar riesgos. El escape de información ha sido descubierto a raíz de las protestas de clientes de bancos y cajas que habían recibido cargos en sus cuentas por compras que ellos no habían efectuado y realizadas en países que no habían visitado en las fechas que figuran en los extractos. Las operaciones habían sido desarrolladas por personas que, con documentación ficticia, habían adquirido con una tarjeta clonada objetos de lujo, electrodomésticos u otros enseres fáciles de colocar en el mercado ‘negro’. En la mayoría de las denuncias, las cifras de gasto eran inferiores a los 6.000 euros. Las entidades han devuelto el dinero en todos los casos conocidos por este periódico. Una de las características de este tipo de fraude es que los cobros irregulares están cubiertos por compañías de seguros, de tal forma que las personas que los sufren tienen garantizado el reembolso de las cantidades. Por el momento se ha descubierto estafas a españoles con transacciones en Estados Unidos, Australia, Corea o Grecia.

Intercambio de datos

Según las primeras pesquisas, el fallo se produjo en uno de los centros de procesamiento de datos, donde se comparte información de las tarjetas, lo que permite el pago electrónico en todo el mundo. El nodo, ubicado en Madrid, se encarga de intercambiar la información del ‘dinero de plástico’ que se usa en España cuando, por ejemplo, un cliente de alguno de los grandes servidores realiza un abono mediante un datáfono que no es el que utiliza el banco o la caja del que depende la tarjeta. Este gran centro también trabaja para los procesadores extranjeros. Todas las tarjetas de bancos de otros países que se utilizan en España tienen que pasar por esa gigantesca base.

Entre marzo y septiembre de este año, en este centro se produjo algún tipo de fuga de información que permitió robar los datos de miles de tarjetas que se habían empleado en España en ese periodo. Aunque el proceso todavía se está investigando, la hipótesis que se baraja es que se trata de un ‘hacker’ -pirata informático- que habría conseguido burlar todos los filtros de seguridad y hacerse con información de miles de transacciones. En la práctica, los códigos robados son los mismos que están grabados en las bandas magnéticas, por lo que los delincuentes expertos en este tipo de sustracciones no tienen ningún problema para clonar los ‘plásticos’.

La tesis del pirata informático está avalada por el hecho de que muchos de los números de tarjetas en las que se han detectado fraudes no corresponden a secuencias aleatorias. Son consecutivos -ordenados según las cifras que corresponden a los bancos y cajas-, lo que implica que han sido tratadas con algún tipo de procesador de datos.

Tras detectarse la fuga, las entidades financieras declararon una alerta por la existencia de tarjetas ‘comprometidas’. Este término indica que son susceptibles de sufrir un eventual fraude por haber pasado porel centro datos en los meses en los que se produjo el escape de información. Esa denominación no implica, de manera automática, que se haya producido o se vaya a producir una estafa.

Límite de gasto

Además, no todas las tarjetas empleadas en esas fechas pueden ser usadas de forma fraudulenta. Por ejemplo, basta con que hayan cambiado la fecha de caducidad -bien porque el cliente la ha renovado por pérdida, deterioro o porque haya superado el tiempo de validez- para que ya no se pueda ser explotada la información sustraída. Los ‘plásticos’ que llevan incorporado un chip electrónico tampoco son vulnerables.

Este caso de fraude ha provocado que varios bancos y cajas hayan acelerado el proceso de renovación de su parque de tarjetas de banda magnética por las de ‘chip’, que ofrecen una mayor seguridad. Algunas de ellas ya habían concluido el cambio antes de que se detectara el fallo de seguridad.

Las entidades también han comenzado a recurrir a filtros de seguridad en sus sistemas informáticos para bloquear aquellas operaciones de tarjetas ‘comprometidas’ en las que existen sospechas de que se pueden estar utilizando para cometer un robo. La Confederación Española de Cajas de Ahorro (CECA) ha creado una lista de ‘plásticos’ de ese tipo a los que se les deniega los pagos internacionales a partir de determinadas cantidades. Además, algunas instituciones financieras han comenzado a renovar de manera automática las tarjetas de clientes en las que se ha detectado un fraude y han puesto un tope -en algunos casos, de 500 euros- en transacciones realizadas en los sectores en los que se han cometido estafas.

La CECA tiene previsto celebrar en los próximos días una jornada de trabajo, a la que acudirán altos directivos de las cajas, en la que se tratará la posible adopción de medidas especiales en España contra el ‘compromiso’ de las tarjetas, entre otras cuestiones. En esta sesión, en la que estarán presentes los expertos de uno de los mayores servidores de pagos del país, serán analizados también los sistemas de detección que se pueden emplear ante posibles usos fraudulentos.
__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.